Optymalizacja filtrowania na Firewallach NGFW
Firewall to podstawowy element ochrony danych firmowych. Jego rolą jest przepuszczanie lub blokowanie ruchu, które odbywa się na podstawie ustawionych na poszczególnych portach filtrów.
Problem pojawia się, kiedy konfiguracja Firewalla wymyka się spod kontroli. Najczęściej to sytuacja, która wynika z braku odpowiedniej higieny pracy, nierzadko związanym ze znacznym obciążeniem działów IT. Inżynierowie nadpisują stare reguły nowymi i nie aktualizują bazy reguł po zakończonych projektach.
Firmy inwestują w sprzęt IT wysokiej jakości, ale nierzadko zapominają o tym, że sam sprzęt nie gwarantuje ani bezpieczeństwa, ani poprawnego działania. To, co najczęściej obserwujemy podczas audytów nawet w dużych i znanych firmach, to źle skonfigurowane urządzenia brzegowe takie jak UTM, NGFW oraz brak zarządzania politykami dostępu.
– Jakub Fabiś, Head of Sales, Grandmetric
Klient
Usługi
Systemy klienta są szczelnie zabezpieczone
Stworzone przez nas reguły na NGFW są uniwersalne i mogą być wykorzystane w przypadku migracji do innego rozwiązania
Klient korzysta z wygodnego dashboardu, niezależnego od producenta i wizualizującego, w jaki sposób NGFW filtruje ruch sieciowy
Wieloletnie zaniedbania u globalnego producenta napojów spowodowały, że inżynierowie nie wiedzieli, które z zapisanych na portach reguł są aktualne i używane, a co za tym idzie, nie potrafili określić, którędy ani dokąd jest prowadzony ruch. Taki bałagan znacznie utrudniał nadzór nad ruchem oraz ocenę, czy firewall poprawnie filtruje ruch w całej organizacji.
Nasz Klient postanowił uporządkować konfigurację swoich urządzeń NGFW, żeby ułatwić inżynierom rozwiązywanie problemów z ruchem sieciowym.
Naszym zadaniem było zrozumienie, w jaki sposób obecne systemy Firewalli są skonfigurowane, które reguły są poprawne, a które nieużywane. Następnie uporządkowaliśmy i zwizualizowaliśmy ruch dzięki napisanej przez nasz zespół automatyzacji przepływów między poszczególnymi interfejsami i strefami bezpieczeństwa.
Rozpoczęliśmy od szczegółowej analizy potrzeb oraz audytu dotychczasowej konfiguracji. Pobraliśmy próbkę ruchu sieciowego z całego tygodnia i na jej podstawie przygotowaliśmy podstawowe reguły sterowania ruchem.
Klient nie wiedział, w jaki sposób jego firewalle filtrują ruch. Aby przeanalizować, które interfejsy są wykorzystywane, między którymi interfejsami jest przepływ oraz by określić jego wolumen, zbudowaliśmy własne narzędzie do analizy. Wykorzystaliśmy w tym celu Elastic Stack (Elasticsearch i Kibana), który na podstawie dostarczonych mu danych (source, destination, porty, VLANy) tworzył odpowiedni diagram przepływu (Sankey diagram).
Zdawaliśmy sobie sprawę, że nieprawidłowo skonstruowane reguły mają wpływ na pracę fabryki, np. mogą spowodować, że komputery stracą możliwość nadzorowania maszyn na hali produkcyjnej. Dlatego prace wykonywaliśmy w oknach, kiedy maszyny miały przestój. Nowe reguły dopisywane były na górze, dzięki czemu mogliśmy jednoznacznie weryfikować ich poprawność za pomocą liczników pakietów i sesji, które spełniały daną regułę (tzw. hitcount).
Po rozpoznaniu Twojej sytuacji dobierzemy inżyniera, który podczas bezpłatnej konsultacji doradzi, co możesz zrobić dla wzmocnienia bezpieczeństwa w interesującym Cię obszarze.
Jakub Fabiś, Head of Sales, Grandmetric